Avatar billede mrsbaloui Nybegynder
03. april 2002 - 22:06 Der er 12 kommentarer og
1 løsning

VPN med en SOHO 77 ?

Hej !

Jeg er sikker på, at jeg ikke er den første med dette spørgsmål ;=) men
hvordan får jeg sat min SOHO 77 op til at kunne køre VPN (som klient) ?

VPN klienten er allerede installeret på mine PC'er (Win2K og Win98SE) og
tunnelen virker, men jeg ikke få adgang til firmaets servere...

VPN-forbindelsen er blevet testet med StofaNet, CyberCity og WOL med en
Cisco 677 og virker upåklageligt ! Firmaets interne IP-numre er forskellige
fra dem, vi har privat.

På Forhånd Tak !!

Med venlig hilsen
Louise Hansen
Avatar billede woolbox Nybegynder
03. april 2002 - 23:01 #1
Tjeck http://www.eksperten.dk/spm/193186 - eneste forskel er at min NAT-router er software baseret og din er hardware baseret. Jeg vil gætte på at den VPN opkobling du forsøger at oprette er L2TP/IPsec!? :o) ...

L2TP opretter selve tunnelen hvilket også hos mig fungerer glimrende, men selve IPsec-'trafiken' kan ikke (umiddelbart?) routes over NAT ... :o(
Avatar billede dinkie Nybegynder
04. april 2002 - 00:00 #2
Måske er der noget på den her side du kan bruge.. Dit problem ligner ikke helt woolbox'es sådan som jeg ser det er det et access problem du har med din Cisco box som skal permittes ligesom på en firewall eller lign..

http://www.coder.dk/sohofaq.php
Avatar billede woolbox Nybegynder
04. april 2002 - 00:27 #3
Bemærk at der står VPN/PPTP - som virker fint over NAT ... Det er VPN/IPsec der volder problemer.

VPN/PPTP bruger PPTP som tunnel og MPPE til kryptering - begge kan routes over NAT.

VPN/L2TP bruger L2TP som tunnel og IPsec til kryptering - L2TP kan godt routes over NAT (hvilket forklarer tunnelerne oprettes - som hos mig) men IPsec kan ikke, og derfor kan tunnelerne ikke bruges.

IPsec over en NAT-router kan kun lade sig gøre på Ciscos (eller andre kvali-mærkers) high-end routere ...
Avatar billede woolbox Nybegynder
04. april 2002 - 00:28 #4
Let me refrase the last line ...

IPsec over en NAT-router kan UMIDDELBART kun lade sig gøre på Ciscos (eller andre kvali-mærkers) high-end routere ...

:o)
Avatar billede mrsbaloui Nybegynder
04. april 2002 - 07:02 #5
AV !
Det skal meget mere ned på jorden, hvis jeg skal forstå det ;)

Det er rigtigt nok, at det er en IPSec-baseret forbindelse. Det jeg ikke forstår er, hvorfor det virker på en Cisco 677.

Hvad er det for porte, som jeg skal åbne ?
...Og hvordan gør jeg ?

??Louise
Avatar billede woolbox Nybegynder
04. april 2002 - 09:42 #6
Hvis det kun er et FW-agtigt problem skal du åbne for IP type 50 og UDP port 500 - er ikke helt skarp i dem da jeg ikke fik det til at virke selv uden firewall, og derfor ikke har undersøgt nærmere hvilke porte det bruger! :o)
Avatar billede mrsbaloui Nybegynder
04. april 2002 - 10:23 #7
OK, det var så portnumrene...

Nogen der har løsningen på resten ?

PFT
Louise
Avatar billede woolbox Nybegynder
04. april 2002 - 10:50 #8
Det er ikke sikker at der er en løsning ... hvilken VPN klient bruger du?

"To use RaptorMobile through a device that uses NAT, the device must do IP-to-IP mappings instead of just PAT. Though this issue appears when using RaptorMobile, this is actually an IPSEC issue and is not strictly related to RaptorMobile."

(Kilde: http://service2.symantec.com/SUPPORT/firewallvpnkb.nsf/7dae9b5c77063aae85256ab6005e965a/b0ae103bde55263485256ad5006e96ee?OpenDocument&prev=http://search.symantec.com/custom/us/techsupp/enterprise/kb/query.html?*col=kb%20us*st=1*nh=10*pcode=*qp=url:/firewallvpnkb.nsf/7dae9b5c77063aae85256ab6005e965a,url:us-sarc,url:us-ts,url:us-lu*qt=ipsec%20over%20nat*miniver=raptormobile_652_win2000*sone=raptormobile_652_win2000_tasks.html*stg=*prod=RaptorMobile*ver=6.5.2%20for%20Windows%202000*base=http://www.symantec.com/techsupp/enterprise/products/raptormobile/raptormobile_652_win2000/*next=&sone=raptormobile_652_win2000_tasks.html&stg=&prod=RaptorMobile&ver=6.5.2%20for%20Windows%202000&base=http://www.symantec.com/techsupp/enterprise/products/raptormobile/raptormobile_652_win2000/&next=&src=ent&pcode=&dtype=corp&svy=p74646807)
Avatar billede woolbox Nybegynder
04. april 2002 - 10:53 #9
Lige en helt factuel liste over ting der skal sættes op på VPN-devicen (som de kalder det)

In order for a device to be IPSec compliant, it needs to have the ability to do the following:

- Open UDP port 500 for ISAKMP traffic.
- Not block IP Protocol Type 50 for Encapsulation Security Payload (ESP).
- Not block IP Protocol Type 51 for Authentication Header (AH).

Men det virker stadigvæk ikke umiddelbart over NAT ... :o(
Avatar billede mrsbaloui Nybegynder
04. april 2002 - 12:30 #10
Jeg bruger (eller skal bruge) en VPN klient fra SafeNet. FireWallen i den anden ende er en WatchGuard Firebox.

Kan du forklare mig hvorfor tunnelen virker og ikke det andet ?

??Louise
Avatar billede dinkie Nybegynder
04. april 2002 - 13:07 #11
Woolbox har ret. Det er fordi du har NAT på din SOHO 77.. Det spiller ikke sammen med IPSEC.. Så hvis du skal kunne komme i kontakt med firmaet skal du enten til at snyde IPSEC, eller få firmaet til at bruge PPTP som er hamrende ligeglad med NAT..
Avatar billede woolbox Nybegynder
04. april 2002 - 13:08 #12
Se mit svar nummer 2, "VPN/L2TP bruger L2TP som tunnel og IPsec til kryptering - L2TP kan godt routes over NAT (hvilket forklarer tunnelerne oprettes - som hos mig) men IPsec kan ikke, og derfor kan tunnelerne ikke bruges." - VPN'en består af to dele tunnel og ktyptering, tunnelen kan godt routes over NAT men krypteringen (IPSEC) kan ikke (umiddelbart) routes over NAT :o(
Avatar billede mrsbaloui Nybegynder
04. april 2002 - 16:01 #13
Ok, hvis jeg i min Router skriver:

ip nat inside source static udp 192.168.1.3 500 interface dialer0 500

Så åbner jeg for udp på port 500, men hvordan med de andre 2 kommandoer ?

Louise
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester



IT-JOB

Netcompany A/S

IT Consultant

Capgemini Danmark A/S

Project Manager

Danoffice IT

Senior AI Specialist

Capgemini Danmark A/S

SAP Accelerate Program